企業がDjangoを使う際に、特にセキュリティで気をつけること

企業がDjangoを使う際に、特にセキュリティで気をつけること Python・Djangoのセキュリティセミナー～市場動向から実践的な話まで～ BeProud / connpass 開発チーム吉田花春（@kashew_nuts） 1
/ 42

お品書き自己/会社紹介発表の動機・ゴール Djangoの基本情報セキュリティ対策の基準 Djangoでの実践対策運用とまとめ 2 / 42

Who am I? / 自己紹介吉田花春 (Yoshida Kashun) 𝕏 @kashew_nuts
BeProud Inc. Django歴: 8年以上 PyCon JP・DjangoCongress JP 登壇 / 書籍・雑誌執筆経験あり「Djangoの安全設計」と「実運用での落とし穴」を開発現場の視点から共有します。 3 / 42

What's BeProud Python メインで受託開発・研修・自社サービスの運営私は主に connpass の開発/運営をしています各国のPyConでの登壇実績があり、書籍執筆も行う 4 /
42

1. Djangoの基本情報 5 / 42

バッテリー同梱の哲学: フルスタックで安全機構を標準装備 "安全にしやすい" フレームワーク設計ミドルウェア（セキュリティ / クリックジャッキング / CSRF /
Session）認証（User / Permission / 認証システム / パスワード管理） ORM（Models / QuerySet / Migrations） View層（URLconf / Views / ファイルアップロード）テンプレートエンジン（autoescape / filters）管理インターフェース（admin）フォームキャッシュフレームワーク国際化と地域化 6 / 42

セキュリティ指向の歴史 2005年の初期から安全設計重視 LTS(Long-Term Support)リリースで長期サポート脆弱性報告への経路や仕組みが確立しており、迅速な対応システムの信頼性と長期的な運用が可能になる 7 /
42

Djangoは「安全にしやすい」フレームワーク「Djangoが守る範囲」と「開発者が守る範囲」を理解することが重要。 ORMによりSQL Injectionを防ぎやすいテンプレートでXSSを防ぎやすい MiddlewareでCSRF/Cookie保護を標準化 Djangoは自動で安全を保証するわけではありません。しかし、安全な実装を導きやすい設計を持っています。 8 /
42

実運用で崩れやすいポイント SPA（フロントエンドとバックエンドを分離した構成）サブドメイン運用外部ストレージ・CDN 設計・設定・CI運用がカギ 9 / 42

2. セキュリティ対策の基準 10 / 42

なぜ守るのか情報漏えいは「事故」ではなく「過失」信頼失墜、法的責任、コスト爆発 11 / 42

代表的な被害事例 XSSによるセッション乗っ取り CSRFでの不正操作認可バグでの情報漏えい S3署名URLの流出 12 / 42

IPA: 安全なWebサイトの作り方 IPA(情報処理推進機構)による安全指針実際の届け出をもとに脆弱性対策・安全性向上施策・失敗例について解説対策カテゴリ: パスワード系認証・認可インジェクション系クロスサイト系その他（ファイル、ディレクトリ等）
[1] https://www.ipa.go.jp/security/vuln/websecurity.html 13 / 42

OWASP Top 10 Web アプリケーションによくある脆弱性と対処方法について解説 A01: アクセス制御の不備 A03: インジェクション A05:
セキュリティの設定ミス A07: 識別と認証の失敗 A08: ソフトウェアとデータの整合性の不具合 → Djangoは多くをカバー可能 [1] https://owasp.org/Top10/ja/ 14 / 42

信頼境界を意識する信頼できないデータが境界をまたぐ際に防御を置くことが重要 ※ Django 開発者視点での"理解用の整理図" 15 / 42

3. Djangoでの実践対策 16 / 42

settings.py での防御線 SECURE_SSL_REDIRECT = True CSRF_COOKIE_SECURE = True SESSION_COOKIE_HTTPONLY =
True SECURE_HSTS_SECONDS = 31536000 # 1年 → HTTPS, Cookie保護, HSTS 17 / 42

check --deploy $ python manage.py check --deploy 自動検出できる項目を確認ただしCSP, SSRF,
CORSは対象外自動 + 手動レビューを習慣化 18 / 42

CSRF設定デフォルトは CsrfViewMiddleware と csrf_token テンプレートタグでカバー本番運用でハマりやすい以下の2つの設定値には注意 CSRF_TRUSTED_ORIGINS CSRF_COOKIE_SAMESITE='Lax' or
'None'にしてSecureをつける ※ SPA/API分離時に注意が必要 https://docs.djangoproject.com/ja/5.2/ref/csrf/#settings 19 / 42

ALLOWED_HOSTSとProxy # Hostヘッダインジェクション回避(受け付けるHostを絞る) ALLOWED_HOSTS = ['app.example.com'] # CloudFront や ALB配下で動かすときに
USE_X_FORWARDED_HOST = True SECURE_PROXY_SSL_HEADER = ('HTTP_X_FORWARDED_PROTO', 'https') → CloudFront/ALB配下での正しい設定 20 / 42

パスワード保護保存時はPBKDF2やArgon2のようなハッシュ関数を用いる: PASSWORD_HASHERS で設定強力なバリデータ設定を活用: AUTH_PASSWORD_VALIDATORS で設定単純なパスワード禁止ルールの導入パスワード変更時の決まりごと（長さ・辞書攻撃対策など）
アカウントロックは django-axes を活用 [1] https://pypi.org/project/django-axes/ 21 / 42

CSP(Content Security Policy) 設定 CSP_DEFAULT_SRC = ["'self'", "*.example.com"] CSP_SCRIPT_SRC =
["'self'", "js.cdn.com/example/"] django-csp を活用し report-only 運用から始める次第により厳格なCSPである nonce- もしくは hash- ベースにしていく Django 6.0（2025年12月予定）で標準対応予定 [1] https://pypi.org/project/django-csp/ 22 / 42

XSS対策テンプレート自動エスケープ {{ }} mark_safe 禁止ブログ投稿やコメント欄などのHTML投稿は bleach でサニタイズ 23
/ 42

SQL Injection ORM使用で防御 Raw SQLでは必ずパラメータバインド cursor.execute("SELECT * FROM tbl WHERE
id=%s", [id]) 24 / 42

ファイルアップロード Request Boundary Form / Serializer でサイズ・MIME・拡張子を検証 FileExtensionValidator など Django標準のバリデータ活用
Application Logic Pillow で画像を再エンコード（Exif除去・形式正規化）アップロード処理をビジネスロジックとして集約して「直接保存させない」 Data & External FileField + Storage backend（django-storages / S3） S3はprivate、配布はPresigned URL or CloudFrontで [1] https://pypi.org/project/pillow/ [2] https://pypi.org/project/django-storages/ 25 / 42

リダイレクト安全化 next パラメータは信頼ドメインのみに限定許可ホストのみ許可する仕組みを使い、それ以外はフォールバックする url_has_allowed_host_and_scheme(next_url, allowed_hosts) 26 / 42

メールヘッダインジェクション Djangoは防御済みユーザー入力を直接 Subject / From / To に入れず、バリデーションを挟む EmailField
で形式チェック改行（\r\n）を禁止するバリデータを挟む From は固定アドレス、ユーザーのメールは reply_to で扱うのも検討 27 / 42

認可制御 django-guardian , rules でobject-level permission if分岐で権限管理しない [1] https://pypi.org/project/django-guardian/ [2]
https://pypi.org/project/rules/ 28 / 42

CORS（Cross-Origin Resource Sharing）設定 django-cors-headers CORS_ALLOW_ALL_ORIGINS=True と CORS_ALLOW_CREDENTIALS=True の併用は危険 Originリストを厳格に CORS_ALLOW_CREDENTIALS=True
が必要な場合は明示的なHostだけ許可 [1] https://pypi.org/project/django-cors-headers/ 29 / 42

セッション管理 Cookie属性 Secure=True（HTTPS必須） HttpOnly=True（XSSから保護） SameSite=Lax（デフォルト安全）権限昇格時はセッションIDをローテート。セッション固定攻撃(Session Fixation) を避ける Djangoの login()
が自動で実施 Django Adminから指定するなど特殊ケースでは session.flush() キャッシュ禁止ヘッダ @never_cache デコレータを活用して no-store を付与 30 / 42

管理画面防御 /adminは別URLに配置 IP制限や2FAで保護監査ログを記録 31 / 42

構造化ログ django-structlog or python-json-logger リクエストID / ユーザーID / 成功・失敗を記録 [1]
https://pypi.org/project/django-structlog/ [2] https://pypi.org/project/python-json-logger/ 32 / 42

静的解析とCI Ruff ( flake8-bugbear, bandit）, detect-secrets pre-commit でチェック自動化 $ pre-commit
run --all-files [1] https://pypi.org/project/ruff/ [2] https://pypi.org/project/detect-secrets/ [3] https://pre-commit.com/ 33 / 42

依存関係と脆弱性管理 pip-audit / safety / Dependabot CIで定期チェックを自動化 [1] https://pypi.org/project/pip-audit/ [2]
https://pypi.org/project/safety/ [3] https://docs.github.com/ja/code-security/dependabot 34 / 42

DAST（Dynamic Application Security Testing）とモニタリング DAST: 動的アプリケーションセキュリティテスト OWASP ZAP baseline scan
CSP report-onlyログを監視 [1] https://www.zaproxy.org/docs/docker/baseline-scan/ 35 / 42

4. まとめ 36 / 42

Djangoが守ってくれること CSRF, XSS, SQLi, Auth, Cookie保護 → "デフォルトで強い" 37 /
42

開発者が守るべきこと CSP, CORS, SSRF, ファイル, ログ, レート制限 → "設計と運用で補う" 38
/ 42

自動チェック文化を作る check --deploy ruff / bandit / pip-audit → 継続的検査の仕組みをチームに
39 / 42

チームで守る個人対応ではなく仕組み化教育・レビュー・自動化を循環させる 40 / 42

最後に Djangoは安全を助ける。でも守るのは、あなたのチーム。 41 / 42

Djangoの開発・運用で困ったら BeProud にご相談ください大規模Djangoの運用実績パフォーマンス最適化 / セキュリティ対策 API 設計・リプレース・アーキテクチャ改善コードレビュー・教育・スポット支援も対応
https://www.beproud.jp/business/ あなたのチームと一緒に、 Django をもっと安全に、もっと強く。 42 / 42

企業がDjangoを使う際に、特にセキュリティで気をつけること

企業がDjangoを使う際に、特にセキュリティで気をつけること

More Decks by Kashun Yoshida

Other Decks in Programming

Featured

Transcript